สำหรับวัตถุประสงค์ของ การลงนามรหัส EV และ Adobe PDF ลายเซ็นดิจิทัลจำเป็นต้องมีการสร้างและเก็บคีย์ส่วนตัวของคุณอย่างปลอดภัยบนอุปกรณ์ฮาร์ดแวร์ที่ผ่านการตรวจสอบด้วย FIPS ภายนอกแทนที่จะเป็นคอมพิวเตอร์ของคุณ SSL.com จะจัดส่งการลงนามรหัส EV และใบรับรองการลงนามเอกสาร PDF ที่ติดตั้งไว้ล่วงหน้าบน FIPS 140-2 โทเค็น USB ของคีย์ความปลอดภัยที่ผ่านการตรวจสอบแล้วแต่ผู้ใช้ยังสามารถสร้างคู่คีย์บน YubiKey และ an . ที่มีอยู่ได้ ใบรับรองการยืนยัน ที่พิสูจน์ว่ามีการสร้างรหัสส่วนตัวบนอุปกรณ์ ใบรับรองการยืนยันสามารถใช้เพื่อสั่งซื้อใบรับรองจาก SSL.com ที่อาจติดตั้งด้วยตนเองบน YubiKey
Do ไม่ ทำตามคำแนะนำเหล่านี้หากคุณสั่งซื้อ YubiKey พร้อมกับใบรับรองของคุณจาก SSL.com เนื่องจาก YubiKeys เหล่านี้มาพร้อมกับใบรับรองที่ติดตั้งไว้ล่วงหน้า วิธีการนี้มีไว้สำหรับลูกค้าที่ต้องการติดตั้งใบรับรองบน YubiKey FIPS ที่พวกเขาเป็นเจ้าของอยู่แล้ว
วิธีการนี้จะแนะนำคุณผ่าน:
- กำลังสร้าง คู่กุญแจ และ ใบรับรองการยืนยัน บน Yubikey ของคุณ
- การตรวจสอบ ใบรับรองการยืนยันและเชื่อมโยงกับการลงนามรหัส SSL.com EV หรือการสั่งซื้อเอกสาร PDF
- การติดตั้ง ใบรับรองใหม่ของคุณใน YubiKey
หมายเหตุ ภาพหน้าจอด้านล่างมาจาก Windows แต่กระบวนการเกือบเหมือนกันบน Linux และ macOS ความแตกต่างระหว่างแพลตฟอร์มมีการระบุไว้ด้านล่าง คำแนะนำสำหรับ Linux อ้างถึง Ubuntu 19.10 โดยมีตัวจัดการ YubiKey ติดตั้งอยู่
apt-get (ดูของ Yubico คำแนะนำการใช้ สำหรับข้อมูลเพิ่มเติม). Linux AppImage มีให้ใช้งานจาก YubiKey Manager ดาวน์โหลดหน้า. โปรดทราบว่าแม้ว่าคำแนะนำเหล่านี้จะใช้ซอฟต์แวร์ Yubikey Manager ของ Yubico แต่ SSL.com's . รุ่น 3.0 SSL Manager สนับสนุน การสร้างคีย์คู่และการติดตั้งใบรับรองบน YubiKey สำหรับผู้ใช้ Windowsขั้นตอนที่ 1: สร้าง Key Pair บน YubiKey
- หากคุณยังไม่ได้ดำเนินการให้ดาวน์โหลดและติดตั้ง ผู้จัดการ YubiKey จากเว็บไซต์ของ Yubico มีเวอร์ชันสำหรับ Windows, Linux และ macOS
- เสียบ YubiKey ของคุณแล้วเปิด YubiKey Manager YubiKey ของคุณควรจะปรากฏในหน้าต่าง YubiKey Manager
- นำทางไปยัง แอปพลิเคชั่น> PIV.
- คลิก กำหนดค่าใบรับรอง ปุ่ม
- เลือกแท็บสำหรับสล็อต YubiKey ที่คุณต้องการสร้างคู่คีย์ หากคุณกำลังซื้อใบรับรองการลงนามรหัส EV ให้เลือก การยืนยันตัวตน (ช่อง 9a) สำหรับการเซ็นเอกสาร PDF ให้เลือก ลายเซ็นดิจิทัล (ช่อง 9c). (ดู Yubico's เอกสาร สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องเสียบกุญแจและฟังก์ชั่นที่ต้องการ พวกเขาแตกต่างกันในนโยบายการป้อน PIN) ที่นี่เราจะใช้ slot 9a
- คลิก ผลิต ปุ่ม
- เลือก คำขอลงนามใบรับรอง (CSR)จากนั้นคลิกปุ่ม ถัดไป ปุ่ม
- เลือก a ขั้นตอนวิธี จากเมนูแบบเลื่อนลง สำหรับการเซ็นเอกสาร เลือก
RSA2048. สำหรับการเซ็นรหัส EV ให้เลือกECCP256orECCP384.
- ป้อน ชื่อเรื่อง สำหรับใบรับรองจากนั้นคลิกที่ ถัดไป ปุ่ม
หมายเหตุ เราจะไม่ใช้สิ่งนี้จริงๆ CSR- สร้างขึ้นเป็นผลพลอยได้จากการสร้างคู่คีย์ใหม่ ดังนั้นจึงไม่สำคัญว่าคุณจะป้อนชื่อเรื่องอะไรที่นี่
ผู้ใช้ต้องขอ SSL.com สำหรับการออกใหม่เมื่อส่งคำสั่งซื้อใหม่ การออกจะไม่เกิดขึ้นโดยอัตโนมัติ - คลิก ผลิต ปุ่ม
- เลือกตำแหน่งที่จะบันทึกไฟล์ CSR ไฟล์สร้างชื่อไฟล์จากนั้นคลิกที่ ลด ปุ่ม
- ป้อน YubiKey ของคุณ คีย์การจัดการจากนั้นคลิก OK. หากคุณต้องการรหัสการจัดการของคุณโปรดติดต่อ Support@SSL.com.
- ป้อน YubiKey ของคุณ PINจากนั้นคลิก OK. หากคุณต้องการความช่วยเหลือในการค้นหา PIN ของคุณโปรดดูที่ วิธีการนี้.
- พื้นที่ CSR ไฟล์จะถูกบันทึกในตำแหน่งที่คุณระบุไว้ในขั้นตอนที่ 11 ด้านบน อีกครั้งเราไม่ต้องการให้ไฟล์นี้ดำเนินการต่อและคุณสามารถลบได้อย่างปลอดภัย
ขั้นตอนที่ 2: สร้างใบรับรองการยืนยัน
YubiKey แต่ละอันมาพร้อมกับคีย์ส่วนตัวและใบรับรองจาก Yubico ที่ให้คุณสร้าง ใบรับรองการยืนยัน เพื่อตรวจสอบว่ามีการสร้างคีย์ส่วนตัวบน YubiKey การดำเนินการนี้จะทำให้คุณต้องใช้บรรทัดคำสั่ง
- ใน Windows ให้เปิด PowerShell ในฐานะผู้ดูแลระบบ ผู้ใช้ macOS และ Linux ควรเปิดหน้าต่างเทอร์มินัลบนอุปกรณ์ของตน
- ใช้คำสั่งต่อไปนี้เพื่อนำทางไปยังไฟล์ YubiKey Manager:
- Windows:
ซีดี "C: โปรแกรม FilesYubicoYubiKey Manager"
- MacOS:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- บน Linux (Ubuntu)
ykmanคำสั่งจะถูกติดตั้งในของคุณPATHดังนั้นคุณสามารถข้ามขั้นตอนนี้ได้
- Windows:
- สร้างใบรับรองการรับรองสำหรับคีย์ด้วยคำสั่งด้านล่าง (แทนที่
ATTESTATION-FILENAME.crtด้วยพา ธ และชื่อไฟล์ที่คุณต้องการใช้ หากคุณใช้ slot 9c ให้แทนที่9aกับ9c):- Windows:
คีย์ piv .ykman.exe ยืนยัน 9a ATTESTATION-FILENAME.crt
- ลินุกซ์ (Ubuntu):
คีย์ piv ของ ykman ยืนยัน 9a ATTESTATION-FILENAME.crt
- MacOS:
./ykman piv คีย์ยืนยัน 9a ATTESTATION-FILENAME.crt
- Windows:
- ถัดไปใช้
ykmanคำสั่งเพื่อส่งออกใบรับรองกลางจากช่องเสียบ f9 ของ YubiKey (แทนที่INTERMEDIATE-FILENAME.crtด้วยพา ธ และชื่อไฟล์ที่คุณต้องการใช้):- Windows:
ใบรับรอง piv .ykman.exe ส่งออก f9 INTERMEDIATE-FILENAME.crt
- ลินุกซ์ (Ubuntu):
ykman piv ใบรับรองส่งออก f9 INTERMEDIATE-FILENAME.crt
- MacOS:
./ykman piv ใบรับรองส่งออก f9 INTERMEDIATE-FILENAME.crt
- Windows:
ขั้นตอนที่ 3: ตรวจสอบใบรับรองการรับรองด้วย SSL.com และแนบกับคำสั่งซื้อ
- ที่นี่เราจะใช้ใบรับรองการยืนยันของเราจาก YubiKey slot 9a กับคำสั่งใบรับรองการลงนามรหัส EV (ขั้นตอนในการลงนามใบรับรองเอกสารจะเหมือนกัน) ขั้นแรกเปิดการรับรองและใบรับรองระดับกลางในโปรแกรมแก้ไขข้อความ
- เข้าสู่ระบบบัญชีผู้ใช้ SSL.com ของคุณและไปที่ไฟล์ รายการสั่งซื้อ จากนั้นคลิกแท็บ รายละเอียด ลิงก์สำหรับคำสั่งซื้อที่คุณต้องการเชื่อมโยงกับใบรับรองการรับรอง (ลิงค์นี้จะเปลี่ยนเป็น ดาวน์โหลด หลังจากออกใบรับรองของคุณแล้ว)
หมายเหตุ หากคุณต้องการตรวจสอบความถูกต้องของใบรับรองการรับรองของคุณโดยไม่ต้องแนบกับคำสั่งซื้อคุณสามารถใช้ SSL.com เครื่องมือตรวจสอบการยืนยัน.
- คลิก จัดการ ลิงก์ภายใต้ การรับรอง.
- หน้าใหม่ที่มีช่องสำหรับการรับรองและใบรับรองระดับกลางจะปรากฏขึ้น
- วางใบรับรองการรับรองลงในไฟล์ ใบรับรองการยืนยัน ฟิลด์ตรวจสอบให้แน่ใจว่าได้รวมบรรทัด
-----BEGIN CERTIFICATE-----และ-----END CERTIFICATE-----.
- จากนั้นวางใบรับรองระดับกลางลงในไฟล์ ใบรับรองระดับกลาง สนาม
- คลิก ส่ง ปุ่ม
- หากทุกอย่างเป็นไปอย่างถูกต้องการแจ้งเตือนสีเขียวจะปรากฏขึ้นที่ด้านบนของหน้าจอเพื่อแสดงว่าการยืนยันสำเร็จ
- กลับไปที่คำสั่งซื้อในบัญชีของคุณ คุณสามารถตรวจสอบได้ว่าได้เพิ่มการยืนยันลงในคำสั่งซื้อแล้วโดยมีลิงก์ที่มีป้ายกำกับ ลบ ภายใต้ การรับรอง.
- หลังจากที่ SSL.com ประมวลผลคำสั่งซื้อของคุณแล้ว ใบรับรองจะพร้อมใช้งานในบัญชี SSL.com ของคุณ จากหน้ารายละเอียดคำสั่งซื้อของคุณ ให้เลื่อนลงไปที่ ใบรับรองนิติบุคคลสิ้นสุด และคลิก แสดงรายละเอียด.
- เลื่อนลงไปที่ส่วนย่อยที่มีป้ายกำกับ ใบรับรองการลงนามรหัส or หนังสือรับรองการเซ็นเอกสารขึ้นอยู่กับคำสั่งซื้อของคุณ ทางด้านขวา คุณจะเห็นลิงก์ดาวน์โหลดใบรับรองของคุณ
- หากคุณมี หนังสือรับรองการเซ็นเอกสาร, เลือก ใบรับรองส่วนบุคคล ตัวเลือกการดาวน์โหลด นี่คือไฟล์ ZIP ที่ประกอบด้วยไฟล์ใบรับรอง 3 ไฟล์ ได้แก่ ใบรับรองเอนทิตีปลายทาง ใบรับรองระดับกลาง และใบรับรองหลัก
- หากคุณมี ใบรับรองการลงนามรหัส, เลือก สำหรับการติดตั้ง YUBIKEY (DER).
- หากคุณมี หนังสือรับรองการเซ็นเอกสาร, เลือก ใบรับรองส่วนบุคคล ตัวเลือกการดาวน์โหลด นี่คือไฟล์ ZIP ที่ประกอบด้วยไฟล์ใบรับรอง 3 ไฟล์ ได้แก่ ใบรับรองเอนทิตีปลายทาง ใบรับรองระดับกลาง และใบรับรองหลัก
คำเตือน: เราได้เห็นข้อความแสดงข้อผิดพลาดใน YubiKey Manager เวอร์ชันล่าสุดเมื่อนำเข้าใบรับรอง ECC (ตอนนี้จำเป็นสำหรับการลงนามรหัส EV บน YubiKey) มีวิธีแก้ปัญหาที่เป็นไปได้สองวิธี:
- ที่แนะนำ: แปลงใบรับรองเป็นรูปแบบ DER ก่อนนำเข้า อันนี้ตรงไปตรงมา การแปลงด้วย OpenSSL (แทนที่
CERT.crtและCERT.derด้วยชื่อไฟล์จริงของคุณในคำสั่งต่อไปนี้):
openssl x509 -outform der -in CERT.crt -out CERT.der - หากคุณไม่สามารถแปลงไฟล์ได้ ให้เปลี่ยนกลับเป็น an รุ่นก่อนหน้า ของ YubiKey Manager ก็ใช้งานได้เช่นกัน เวอร์ชันล่าสุดที่เราพบว่านำเข้า ECC . ได้สำเร็จ
.crtไฟล์ที่ดาวน์โหลดจาก SSL.com is1.1.5.
ขั้นตอนที่ 4: ติดตั้งใบรับรองใน YubiKey
- เปิดตัว YubiKey Manager และย้ายไปที่ แอปพลิเคชั่น> PIV.
- คลิก กำหนดค่าใบรับรอง ปุ่ม
- เลือกแท็บสำหรับสล็อต YubiKey เดียวกับที่คุณสร้างคู่คีย์
- คลิก นำเข้า ปุ่ม
- ไปที่ไฟล์ใบรับรองเอนทิตีปลายทางของคุณแล้วคลิกไฟล์ นำเข้า ปุ่ม
- ป้อน YubiKey ของคุณ คีย์การจัดการจากนั้นคลิก OK. หากคุณต้องการรหัสการจัดการของคุณโปรดติดต่อ Support@SSL.com.
- มีการติดตั้งใบรับรองการลงนามรหัส EV ใหม่ใน YubiKey
- เพื่อให้แน่ใจว่าลายเซ็นดิจิทัลของคุณเชื่อถือได้ในคอมพิวเตอร์ทุกเครื่องคุณควรติดตั้งใบรับรองหลักและใบรับรองระดับกลางบน YubiKey ของคุณเพื่อความไว้วางใจที่สมบูรณ์ โปรดปฏิบัติตามคำแนะนำเหล่านี้สำหรับการติดตั้งรูทและระดับกลาง: ติดตั้ง SSL.com Root และใบรับรองระดับกลางบน YubiKey.
ขอบคุณที่เลือกใช้ SSL.com! หากคุณมีคำถามใด ๆ โปรดติดต่อเราทางอีเมลที่ Support@SSL.com, โทร 1-877-SSL-SECUREหรือคลิกลิงก์แชทที่ด้านล่างขวาของหน้านี้ คุณยังสามารถค้นหาคำตอบสำหรับคำถามการสนับสนุนทั่วไปได้ใน ฐานความรู้.
